Pesquisadores de segurança descobriram uma maneira de sequestrar secretamente a Siri e outros assistentes digitais de smartphones usando ondas ultrassônicas, sons que normalmente não podem ser ouvidos por humanos.
Apelidada de SurfingAttack, o exploit usa ondas sonoras inaudíveis de alta frequência para ativar e interagir com o assistente digital de um dispositivo. Embora ataques semelhantes tenham surgido no passado, o SurfingAttack se concentra na transmissão das referidas ondas através de materiais sólidos, como mesas. Os pesquisadores descobriram que poderiam usar um transdutor piezoelétrico de US$ 5, acoplado à parte inferior de uma mesa, para enviar essas ondas ultrassônicas e ativar um assistente de voz sem o conhecimento do usuário. Usando essas ondas ultrassônicas inaudíveis, a equipe conseguiu acessar assistentes de voz e emitir comandos para fazer chamadas telefônicas, tirar fotos ou ler uma mensagem que continha uma senha de autenticação de dois fatores. Para ocultar ainda mais o ataque, os pesquisadores enviaram um comando inaudível para diminuir o volume de um dispositivo antes de gravar as respostas usando outro dispositivo escondido embaixo de uma mesa. O SurfingAttack foi testado em um total de 17 dispositivos e se mostrou eficaz com a maioria deles. Alguns dispositivos Apple são vulneráveis ao ataque, embora a pesquisa não tenha observado quais modelos específicos de iPhone foram testados. Todos os assistentes digitais, incluindo Siri, Google Assistant e Bixby, são vulneráveis. Apenas o Huawei Mate 9 e o Samsung Galaxy Note 10+ estavam imunes ao ataque, embora os pesquisadores atribuam isso às diferentes propriedades sonoras de seus materiais. Eles também observaram que o ataque foi menos eficaz quando usado em mesas trançadas por uma toalha de mesa. A técnica se baseia na exploração da não-linearidade do microfone MEMS de um dispositivo, usado na maioria dos que são controlados por voz e inclui um pequeno diafragma que pode traduzir ondas de som ou luz em comandos utilizáveis. Embora eficaz contra smartphones, o SurfingAttack não funciona em alto-falantes inteligentes, como Amazon Echo ou Google Home. O risco primário parece ser dispositivos ocultos com antecedência sob mesas de café, mesas de escritório e outras superfícies semelhantes. A pesquisa pega carona em vários projetos de pesquisa anteriores, incluindo o denominado DolphinAttack.